Я вебмастер для небольшой, растущей промышленной ассоциации. Вскоре мне нужно будет создать для сайта ограниченный раздел, предназначенный только для членов.
Проблема в том, что в нашу организацию входят как крупные компании, так и любительские "клубы" (это относительно новая отрасль ...).
Ясно, что эти клубы будут использовать идентификатор входа, который они будут использовать для входа на наш сайт. Проблема заключается в том, чтобы определить, будет ли один из их членов предоставлять учетные данные для входа людям, которые обычно не должны были бы посещать веб-сайт (у такого клуба нет возражений против того, чтобы все его члены получали на веб-сайте).
Я думал о регистрации вместе с каждым входом в IP-адрес, а также ОС и используемый браузер; если операционная система / браузер остается постоянной и, скажем, не более 10 различных IP-адресов, эта учетная запись явно используется очень немногими различными компьютерами.
Но если имеется 50 комбинаций ОС / браузера и 150 разных IP-адресов, учетные данные, очевидно, были распространены далеко, и тогда будет повод для действий, таких как изменение пароля.
Конечно, это очень раздражает, когда ваш пароль изменяется в одностороннем порядке. Итак, для решения этой проблемы я подумал о том, чтобы разрешить «клубам» управлять своим собственным списком дополнительных учетных записей, и, следовательно, если подозревается злоупотребление, ответственный пользователь будет легко зафиксирован, и один этот «дополнительный член» будет столкнуться с раздражением смены пароля.
Вопрос:
Какие потенциальные проблемы кто-нибудь увидит с таким подходом?